數(shù)月以來，一個悄無聲息的幽靈，正在中國的比特幣礦場間肆虐。一個神秘黑客，將病毒植入礦機(jī)，以此向礦工勒索贖金。但贖金只是一個幌子，黑

數(shù)月以來，一個悄無聲息的幽靈，正在中國的比特幣礦場間肆虐。

一個神秘黑客，將病毒植入礦機(jī)，以此向礦工勒索贖金。但贖金只是一個幌子，黑客真正的目的，是劫走礦機(jī)的算力。

一個有4000臺礦機(jī)的礦場，僅1個小時，就能為黑客帶來2400元的利潤。

病毒的源頭，則指向一個由匿名者發(fā)布的礦機(jī)固件。下載固件的礦工對此毫不知情，甚至再次將病毒傳播。

病毒入侵事件，暴露出了許多礦場的安全隱患。而這個病毒，已經(jīng)衍生出了多個變種。礦場的危機(jī)，仍在持續(xù)。

01中毒

礦機(jī)勒索病毒，在礦工眼里已經(jīng)不新鮮了。這一次，礦工cC的礦場中了招。

1月5日晚，cC礦場的比特大陸礦機(jī)管理界面，突然變成了一張綠色的圖片。圖片中間是只螞蟻，兩邊分別有一把礦工鎬。

hAnt病毒/圖片由受訪者拍攝

這個病毒名叫hAnt。很顯然，病毒的目標(biāo)，是比特大陸的螞蟻礦機(jī)。

點擊這張綠色圖片，可以看到黑客的留言。黑客用中英兩種語言告訴礦工，要免于被攻擊，只有兩個辦法：一，將病毒以固件補(bǔ)丁的方式，傳染給其他礦場的至少1000臺機(jī)器;二，給黑客打10個比特幣。

黑客留言/ 圖片由受訪者拍攝

黑客揚(yáng)言，不這樣做的話，自己就將關(guān)閉螞蟻礦機(jī)的風(fēng)扇和過熱保護(hù)，“燒毀你的礦機(jī)甚至房子”。

但在現(xiàn)實中，恐怕沒有哪個礦工會真的給黑客打幣——這種病毒問題，解決起來并不難。

“第一個解決辦法，是刷礦機(jī)的SD卡，即固件。” cC告訴一本區(qū)塊鏈記者，這相當(dāng)于給礦機(jī)換一個新的操作軟件。這是解決問題最直接的方式。

但要一臺臺刷機(jī)，很花時間。他用了4天時間，才把自己螞蟻礦機(jī)的SD卡全部刷了一遍。在礦場癱瘓的這段時間里，他損失了幾萬元。

cC分析，此次礦機(jī)中毒，原因應(yīng)該是客戶的礦機(jī)在別的礦場跑過，刷了帶病毒的固件。

如果刷SD卡無效，他還有別的辦法：換掉礦機(jī)的字節(jié)庫，甚至控制板，“實在不行，就把礦機(jī)賣了”。

早在2013年，就有黑客利用病毒，劫持他人電腦隱秘挖礦。但針對大型礦場礦機(jī)的攻擊，卻是不久前才開始出現(xiàn)的。

“在2018年8月到10月，問題開始集中爆發(fā)。”礦海會COO俞陽告訴一本區(qū)塊鏈記者。

礦工王釗則表示，自己見過一種很厲害的礦機(jī)病毒。它能在半夜，偷偷把一個礦場4000臺礦機(jī)的挖礦地址，改成黑客的挖礦地址。

一個小時，這個礦場就能為黑客賺到2400元。一天，就是5.76萬元。

由于存在巨大的利潤空間，針對礦場的“病毒挖礦”，也許將長期存在。

02禍根

“我們追蹤這個病毒已經(jīng)有一段時間了。” 當(dāng)談及cC礦場的病毒時，萊比特礦池創(chuàng)始人江卓爾對一本區(qū)塊鏈記者表示。

根據(jù)江卓爾掌握的數(shù)據(jù)，目前，螞蟻比特幣礦機(jī)中的S9、T9，甚至萊特幣礦機(jī)L3+，都有這種病毒的感染記錄。

“在礦機(jī)界，阿瓦隆礦機(jī)需要用‘樹莓派’控制。后者本質(zhì)上是一種Linux系統(tǒng)的微型電腦。”江卓爾表示，“而螞蟻礦機(jī)內(nèi)置了控制板，相當(dāng)于集成了Linux系統(tǒng)，這也就給病毒帶來了可乘之機(jī)。”

所以，螞蟻礦機(jī)與家用和商用電腦一樣，有可能遭到病毒入侵。

這些病毒的源頭在哪里?

江卓爾和俞陽都認(rèn)為，病毒的源頭，大概率來自一個匿名人士發(fā)布的礦機(jī)超頻固件。

“超頻”一詞，最早出現(xiàn)在骨灰電腦玩家口中。

“芯片有一個重要指標(biāo)，叫做主頻。相同工藝的芯片，主頻越高，性能也就越強(qiáng)。”游戲玩家王碩表示，一般情況下，廠商會為芯片設(shè)置一個主頻上限。玩家們通過技術(shù)手段突破這個上限，就叫“超頻”。

但絕大多數(shù)廠商，都反對用戶對芯片進(jìn)行超頻。“這就像運(yùn)動員吃興奮劑一樣，雖然成績提升了，但副作用也十分可怕。”王碩說。

具體到礦機(jī)上，超頻可以提升礦機(jī)算力。以螞蟻S9為例，刷超頻固件可以將S9算力從13.5T提升到18T，算力增幅達(dá)33.33%。因此，礦工刷超頻固件的現(xiàn)象非常普遍。

但與此同時，礦機(jī)的功耗也會大幅提升，礦機(jī)電源、散熱系統(tǒng)負(fù)擔(dān)加重，礦機(jī)芯片的壽命會縮短。“所以礦機(jī)廠商大多不鼓勵超頻。”cC說，“網(wǎng)絡(luò)上的超頻固件，都是‘民間高手’開發(fā)。”

這就給了黑客可乘之機(jī)：固件是寫入硬件內(nèi)部的程序，較操作系統(tǒng)而言更加底層。如果固件“帶毒”，黑客便可以對礦機(jī)為所欲為。

這種病毒具有極強(qiáng)的傳染性。“最開始可能是有一臺或多臺礦機(jī)，刷了帶病毒的超頻固件。它們在不同的礦場中托管時，病毒就迅速滲透到各個礦場。”俞陽說，“只要一臺帶病毒的礦機(jī)進(jìn)了礦場，整個礦場內(nèi)的機(jī)器，在幾分鐘內(nèi)就會被感染。”

俞陽表示，這些病毒的發(fā)布者，一般都在國外，以東歐居多。

而粗心大意的礦工，也會給病毒的入侵留下縫隙。“礦機(jī)和路由器出廠時，都有默認(rèn)密碼。如果礦工沒有修改默認(rèn)密碼，這些礦機(jī)在病毒面前，就像裸奔一樣。”江卓爾說。

不使用來源不明的第三方固件，定期更換路由器與礦機(jī)的登錄密碼，也許是礦工防范病毒入侵的最佳方式。

“不僅僅是要修改密碼?，F(xiàn)在很多礦場大量采用二手礦機(jī)，一些礦廠老板回本心切，沒有查殺病毒或重新刷機(jī)，就直接將礦機(jī)上架，這可能導(dǎo)致礦機(jī)病毒趁機(jī)傳播。”幣印礦池運(yùn)營經(jīng)理馮翀對一本區(qū)塊鏈記者表示。

馮翀認(rèn)為，如果發(fā)現(xiàn)礦機(jī)感染病毒，先要鎖定感染源頭，然后盡快利用網(wǎng)段或電源分隔礦機(jī)，再分組進(jìn)行殺毒或刷機(jī)處理。

03攻防戰(zhàn)

“這一次，礦機(jī)在‘染毒’后大多沒有立刻發(fā)作，而是繼續(xù)偷偷散播病毒。黑客按照一定策略，在某種程度上控制了病毒的發(fā)作時間。”在江卓爾看來，這起事件的幕后黑手，十分狡猾。

他表示，從技術(shù)分析上看，病毒的開發(fā)者應(yīng)該不是中國人，但這個超頻固件最主要的傳播渠道，卻是國內(nèi)的百度網(wǎng)盤。

“這意味著兩個可能性：一是黑客刻意為之，專門針對礦場集中的中國進(jìn)行攻擊;二是中國礦工們在發(fā)現(xiàn)超頻固件帶毒前，無意中幫助了病毒的傳播。”江卓爾表示。

最令江卓爾感到神奇的是，病毒也在不斷升級進(jìn)化，如今已經(jīng)演變出了多個版本：

“現(xiàn)在的新版本病毒，甚至可以監(jiān)控礦工修改密碼的過程，并記錄下新密碼。”

這意味著，如果礦工沒能徹底清理病毒，即便修改了礦機(jī)默認(rèn)密碼，病毒仍能卷土重來。

礦工與黑客的攻防戰(zhàn)仍在繼續(xù)，但藏在暗處的黑客，顯然更加主動。

最讓礦工們氣憤的是，黑客選擇的時間讓人防不勝防，比如通常在半夜偷偷切換賬戶。還有的黑客只針對部分礦機(jī)，一天只偷幾個小時算力，讓人難以覺察。

在“病毒挖礦”出現(xiàn)后，新的商機(jī)也隨之而來——許多礦場管理軟件的賣家，開始將“反病毒”作為宣傳口號。

礦工王釗也在開發(fā)礦場管理軟件。他自稱開發(fā)了業(yè)界唯一針對ASIC礦機(jī)的管理軟件，它可以自動檢測礦機(jī)運(yùn)行狀況，也能批量管理礦機(jī)。

“一旦有礦機(jī)出現(xiàn)算力異常，礦工會第一時間得到通知。”王釗稱，“已經(jīng)有七八萬臺礦機(jī)在使用我們的軟件了。”

但礦機(jī)管理軟件，并不能保證礦機(jī)的絕對安全，甚至有可能成為黑客的新攻擊點。

一位礦圈資深人士向一本區(qū)塊鏈記者透露，2017年，某個大型挖礦集團(tuán)曾經(jīng)遭遇黑客的“定向打擊”。黑客當(dāng)時的切入點，正是這家集團(tuán)自主開發(fā)的礦機(jī)管理軟件。

“這可能是礦圈歷史上最大的一次黑客攻擊，比特幣的全網(wǎng)算力因此下降了3%。”他表示。

潛伏在暗處的黑客，讓比特幣玩家們憂心忡忡。有人甚至擔(dān)心，比特幣網(wǎng)絡(luò)是否會因黑客的一次突然攻擊，全面崩潰。

“很難出現(xiàn)這種情況?，F(xiàn)在比特幣的算力仍然非常分散，礦場的數(shù)量眾多，黑客光是摸清礦場的網(wǎng)絡(luò)位置，就已經(jīng)十分困難了。”江卓爾表示。

盡管黑客詭計多端，但如今比特幣的去中心化結(jié)構(gòu)，已經(jīng)讓整個網(wǎng)絡(luò)建立起了難以動搖的穩(wěn)定性。

病毒也許不會毀掉比特幣，但對于礦工而言，大量礦機(jī)中毒，仍然是件令人頭痛的事。

一個系統(tǒng)真正的漏洞，永遠(yuǎn)是人。只有防微杜漸，礦工們才能保衛(wèi)礦機(jī)的安全。

*文中部分受訪者為化名。

關(guān)鍵詞： 幽靈病毒 肆虐礦場 損失